КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Шлюзы сеансового уровня (инспекторы состояния)
|
|
|
|
Шлюзы сеансового уровня (stateful inspection firewall) осуществляют фильтрацию сетевых пакетов с учетом информации о текущей фазе соединения. Инспектор состояний гарантирует, что ни один сетевой пакет не будет пропущен, если он не принадлежит ранее установленному соединению. Шлюзы сеансового уровня более известны как инспекторы состояния. Подобно фильтрам пакетов, шлюзы сеансового уровня используют набор правил, которые установлены в ядре TCP/IP МЭ.
Для подтверждения TCP-сессии МЭ исследует каждый процесс установки соединения, следующий за законным рукопожатием. Кроме того, пакеты данных не отправляются, пока процесс
рукопожатия не будет закончен. МЭ поддерживает таблицу состоявшихся соединений (в которой содержится полная информация о состоянии сессий: номера последовательностей TCP/UDP, IP-адреса, портов) и позволяет сетевым пакетам проходить тогда, когда информация о пакете соответствует фазе соединения. Как только соединение закрывается, записи о нем удаляются из таблицы, и виртуальное соединение между двумя транспортными уровнями
закрывается.
При установлении соединения шлюз сеансового уровня может сохранять следующую информацию о соединении:
• уникальный идентификатор сессии для соединения, который используется для управляющих целей;
• состояние (фаза) соединения: рукопожатие, установлено, закрыто;
• текущие значения номеров последовательностей пакетов;
• IP-адрес источника;
• IP-адрес назначения;
• тип транспортного протокола (TCP, UDP, ICMP);
• порт источника транспортного уровня (TCP/UDP порт);
• порт назначения транспортного уровня (TCP/UDP порт);
• некоторые поля служебных заголовков пакетов;
• физический сетевой интерфейс, с которого ожидается поступление очередного сетевого пакета;
• время жизни (тайм-аут) виртуального соединения в случае отсутствия активности.
Используя эти данные, МЭ контролирует информацию заголовков каждого сетевого пакета и определяет, когда передающий хост имеет право передачи данных принимающему хосту и когда принимающий хост имеет право получать данные. Дополнительно МЭ могут выполнять проверку того, что сетевой пакет не был подменен и данные, содержащиеся в заголовке пакета транспортного уровня, соответствуют определению этого протокола, что позволяет МЭ обнаружить некоторые изменения пакета данных.
Шлюзы сеансового уровня имеют ограниченное понимание протоколов, используемых в сетевых пакетах. Полная инспекция состояния возможна только для транспортного протокола TCP. Для протоколов UDP и ICMP инспекция состояния виртуального соединения реализуются искусственно, с использованием данных прикладного уровня. Например, при инспекции ICMP подразумевается, что для каждого пакета ECHO_REQUEST должен последовать соответствующий пакет ECHO_REPLAY. При этом ответ не может последовать, если не был отправлен запрос.
Инспекторы разрешают доступ с минимальным количеством исследований путем построения ограниченной формы состояний соединения. Только пакетам, ассоциированным с существующим соединением (в таблице состояний), разрешено прохождение через МЭ. Этот метод очень быстр и обеспечивает ограниченное число проверок состояний.
Шлюзы сеансового уровня могут использовать технологию сетевой трансляции адресов. В этом случае в таблице состояний также хранится информация о транслированных адресах.
Большинство современных МЭ поддерживают технологию инспекции состояния соединения. Отличие состоит лишь в том, насколько «точно» МЭ могут контролировать виртуальные соединения для протоколов TCP, UDP и ICMP.
В общем случае МЭ на основе шлюзов сеансового уровня имеют следующие преимущества:
• шлюзы сеансового уровня обычно быстрее, чем МЭ прикладного уровня, поскольку выполняют меньшее количество операций;
• шлюз сеансового уровня контролирует сессию в целом, что обеспечивает большую защищенность по сравнению с фильтрами
пакетов;
• практически исключена подделка трафика и отдельных пакетов TCP.
Недостатками МЭ на основе шлюзов сеансового уровня являются:
• полнофункциональная инспекция возможна только для TCP;
• не обеспечена проверка вышестоящих протоколов;
• ограниченные возможности аудита событий, но по сравнению с ПФ они могут связывать сетевой пакет с протоколом прикладного уровня путем построения ограниченных форм состояний сессии;
• из-за непонимания протоколов прикладного уровня не имеют дополнительных возможностей, таких как кэширование объектов HTTP или фильтрация URL;
• из-за сложности реализации большинства прикладных сервисов возникают сложности определения разрешенных и запрещенных списков доступа (правил).
Одним из основных достоинств инспекторов состояния являются гибкость создания правил ПБ (по сравнению с пакетными фильтрами), а также способность защиты от большинства DDos-атак, использующих различные виды флудинга и некорректности сетевых пакетов.
|
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 1374; Нарушение авторских прав?; Мы поможем в написании вашей работы!